Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Aplica-se a: Configuration Manager (branch atual)
Pode configurar e implementar Configuration Manager políticas que gerem os quatro componentes do Windows Defender Exploit Guard. Estes componentes incluem:
- Redução da Superfície de Ataque
- Acesso a pastas controladas
- Proteção de exploração
- Proteção de rede
Os dados de conformidade para a implementação da política do Exploit Guard estão disponíveis a partir da consola do Configuration Manager.
Observação
Configuration Manager não ativa esta funcionalidade opcional por predefinição. Tem de ativar esta funcionalidade antes de a utilizar. Para obter mais informações, consulte Ativar funcionalidades opcionais a partir de atualizações.
Aviso
A política do Defender para desativar a intercalação da lista local documentada em Utilizar Política de Grupo para desativar a intercalação de listas locais não é compatível com a gestão de políticas do Exploit Guard através de Configuration Manager.
Pré-requisitos
Os dispositivos geridos têm de ser executados Windows 10 1709 ou posterior; a compilação mínima Windows Server é a versão 1809 ou posterior até apenas o Server 2019. Os seguintes requisitos também têm de ser cumpridos, consoante os componentes e regras configurados:
| Componente exploit guard | Pré-requisitos adicionais |
|---|---|
| Redução da Superfície de Ataque | Os dispositivos têm de ter Microsoft Defender para Ponto de Extremidade proteção sempre ativada ativada. |
| Acesso a pastas controladas | Os dispositivos têm de ter Microsoft Defender para Ponto de Extremidade proteção sempre ativada ativada. |
| Proteção de exploração | Nenhum |
| Proteção de rede | Os dispositivos têm de ter Microsoft Defender para Ponto de Extremidade proteção sempre ativada ativada. |
Criar uma política do Exploit Guard
Na consola do Configuration Manager, aceda a Ativos e conformidade>Endpoint Protection e, em seguida, clique em Windows Defender Exploit Guard.
No separador Base , no grupo Criar , clique em Criar Política de Exploração.
Na página Geral do Assistente para Criar Item de Configuração, especifique um nome e uma descrição opcional para o item de configuração.
Em seguida, selecione os componentes do Exploit Guard que pretende gerir com esta política. Para cada componente que selecionar, pode configurar detalhes adicionais.
- Redução da Superfície de Ataque: Configure a ameaça do Office, as ameaças de script e as ameaças de e-mail que pretende bloquear ou auditar. Também pode excluir ficheiros ou pastas específicos desta regra.
- Acesso controlado a pastas: Configure o bloqueio ou a auditoria e, em seguida, adicione Aplicações que podem ignorar esta política. Também pode especificar pastas adicionais que não estão protegidas por predefinição.
- Proteção contra exploits: Especifique um ficheiro XML que contenha definições para mitigar exploits de aplicações e processos do sistema. Pode exportar estas definições a partir da aplicação Centro de Segurança do Windows Defender num dispositivo Windows 10 ou posterior.
- Proteção de rede: Defina a proteção de rede para bloquear ou auditar o acesso a domínios suspeitos.
Conclua o assistente para criar a política, que pode implementar posteriormente nos dispositivos.
Aviso
O ficheiro XML para a proteção contra exploits deve ser mantido seguro ao transferi-lo entre máquinas. O ficheiro deve ser eliminado após a importação ou mantido numa localização segura.
Implementar uma política do Exploit Guard
Depois de criar políticas do Exploit Guard, utilize o assistente Implementar Política do Exploit Guard para implementá-las. Para tal, abra a consola do Configuration Manager para Ativos e conformidade>Endpoint Protection e, em seguida, clique em Implementar Política do Exploit Guard.
Importante
Depois de implementar uma política do Exploit Guard, como Redução da Superfície de Ataque ou Acesso controlado a pastas, as definições do Exploit Guard não serão removidas dos clientes se remover a implementação.
Delete not supported é registado no ExploitGuardHandler.log do cliente se remover a implementação do Exploit Guard do cliente.
O seguinte script do PowerShell pode ser executado no contexto SYSTEM para remover estas definições:
$defenderObject = Get-WmiObject -Namespace "root/cimv2/mdm/dmmap" -Class "MDM_Policy_Config01_Defender02" -Filter "InstanceID='Defender' and ParentID='./Vendor/MSFT/Policy/Config'"
$defenderObject.AttackSurfaceReductionRules = $null
$defenderObject.AttackSurfaceReductionOnlyExclusions = $null
$defenderObject.EnableControlledFolderAccess = $null
$defenderObject.ControlledFolderAccessAllowedApplications = $null
$defenderObject.ControlledFolderAccessProtectedFolders = $null
$defenderObject.EnableNetworkProtection = $null
$defenderObject.Put()
$exploitGuardObject = Get-WmiObject -Namespace "root/cimv2/mdm/dmmap" -Class "MDM_Policy_Config01_ExploitGuard02" -Filter "InstanceID='ExploitGuard' and ParentID='./Vendor/MSFT/Policy/Config'"
$exploitGuardObject.ExploitProtectionSettings = $null
$exploitGuardObject.Put()
Definições de política do Windows Defender Exploit Guard
Políticas e opções de Redução da Superfície de Ataque
A Redução da Superfície de Ataque pode reduzir a superfície de ataque das suas aplicações com regras inteligentes que param os vetores utilizados pelo Office, script e software maligno baseado em correio. Saiba mais sobre a Redução da Superfície de Ataque e os IDs de Eventos utilizados para a mesma.
Ficheiros e Pastas a excluir das regras de Redução da Superfície de Ataque – clique em Definir e especifique quaisquer ficheiros ou pastas a excluir.
Ameaças de Email:
- Bloquear conteúdo executável do cliente de e-mail e do webmail.
- Não configurado
- Bloquear
- Auditoria
- Bloquear conteúdo executável do cliente de e-mail e do webmail.
Ameaças do Office:
- Bloquear a criação de processos subordinados por parte da aplicação do Office.
- Não configurado
- Bloquear
- Auditoria
- Impedir que as aplicações do Office criem conteúdos executáveis.
- Não configurado
- Bloquear
- Auditoria
- Impedir que as aplicações do Office injetem código noutros processos.
- Não configurado
- Bloquear
- Auditoria
- Bloqueie as chamadas de API Win32 das macros do Office.
- Não configurado
- Bloquear
- Auditoria
- Bloquear a criação de processos subordinados por parte da aplicação do Office.
Ameaças de Scripting:
- Bloquear o JavaScript ou o VBScript de iniciar conteúdo executável transferido.
- Não configurado
- Bloquear
- Auditoria
- Bloquear a execução de scripts potencialmente ocultados.
- Não Configurado
- Bloquear
- Auditoria
- Bloquear o JavaScript ou o VBScript de iniciar conteúdo executável transferido.
Ameaças de ransomware: (a partir do Configuration Manager versão 1802)
- Use proteção avançada contra o ransomware.
- Não configurado
- Bloquear
- Auditoria
- Use proteção avançada contra o ransomware.
Ameaças ao sistema operativo: (a partir do Configuration Manager versão 1802)
- Bloquear o roubo de credenciais do subsistema da autoridade de segurança local do Windows.
- Não configurado
- Bloquear
- Auditoria
- Bloqueie a execução de ficheiros executáveis, a menos que cumpram critérios de prevalência, idade ou lista fidedigna.
- Não configurado
- Bloquear
- Auditoria
- Bloquear o roubo de credenciais do subsistema da autoridade de segurança local do Windows.
Ameaças de dispositivos externos: (a partir do Configuration Manager versão 1802)
- Bloquear processos não fidedignos e não assinados executados a partir de USB.
- Não configurado
- Bloquear
- Auditoria
- Bloquear processos não fidedignos e não assinados executados a partir de USB.
Políticas e opções de acesso a pastas controladas
Ajuda a proteger ficheiros em pastas do sistema de chaves contra alterações efetuadas por aplicações maliciosas e suspeitas, incluindo software maligno de encriptação de ficheiros. Para obter mais informações, veja Acesso controlado a pastas e os IDs de Eventos que utiliza.
-
Configurar o acesso controlado a pastas:
- Bloquear
- Bloquear apenas setores de disco (a partir do Configuration Manager versão 1802)
- Permite que o acesso controlado a pastas seja ativado apenas para setores de arranque e não ativa a proteção de pastas específicas ou das pastas protegidas predefinidas.
- Auditoria
- Auditar apenas setores de disco (a partir do Configuration Manager versão 1802)
- Permite que o acesso controlado a pastas seja ativado apenas para setores de arranque e não ativa a proteção de pastas específicas ou das pastas protegidas predefinidas.
- Desabilitado
- Permitir aplicações através do acesso controlado a pastas – clique em Definir e especifique aplicações.
- Pastas protegidas adicionais – clique em Definir e especifique pastas protegidas adicionais.
Políticas de proteção contra exploits
Aplica técnicas de mitigação de exploits a processos e aplicações do sistema operativo que a sua organização utiliza. Estas definições podem ser exportadas a partir da aplicação Centro de Segurança do Windows Defender em dispositivos Windows 10 ou posteriores. Para obter mais informações, veja Proteção contra exploits.
Exploit protection XML: -Clique em Procurar e especifique o ficheiro XML a importar.
Aviso
O ficheiro XML para a proteção contra exploits deve ser mantido seguro ao transferi-lo entre máquinas. O ficheiro deve ser eliminado após a importação ou mantido numa localização segura.
Política de proteção de rede
Ajuda a minimizar a superfície de ataque em dispositivos a partir de ataques baseados na Internet. O serviço restringe o acesso a domínios suspeitos que podem alojar esquemas de phishing, exploits e conteúdo malicioso. Para obter mais informações, veja Proteção de rede.
-
Configurar a proteção de rede:
- Bloquear
- Auditoria
- Desabilitado